等保3技术部分差距分析一览表.xls_第1页
等保3技术部分差距分析一览表.xls_第2页
等保3技术部分差距分析一览表.xls_第3页
等保3技术部分差距分析一览表.xls_第4页
等保3技术部分差距分析一览表.xls_第5页
免费预览已结束,剩余18页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第1页共1页 信息安全等级保护 三级 技术部分差距分析一览表 总体 分类 项目 分类 考察项目基本要求评测实施 测评方式 测评对象 建设实现 7 1 技术 要求 7 1 1 物理 安全 7 1 1 1 物理位置 的选择 G3 a 机房和办公场地应选择在具有防震 防风和防雨等能力的建筑内 a 应访谈物理安全负责人 询问现有机房和办公场地 放置终端计算机设备 的环境条件是否能够满足信息系 统业务需求和安全管理需求 是否具有基本的防震 防 风和防雨等能力 询问机房场地是否符合选址要求 b 应访谈机房维护人员 询问是否存在因机房和办公场 地环境条件引发的安全事件或安全隐患 如果某些环境 条件不能满足 是否及时采取了补救措施 c 应检查机房和办公场地的设计 验收文档 查看是否 有机房和办公场地所在建筑能够具有防震 防风和防雨 等能力的说明 查看是否有机房场地的选址说明 查看 是否与机房和办公场地实际情况相符合 d 应检查机房和办公场地是否在具有防震 防风和防雨 等能力的建筑内 e 应检查机房场地是否避免在建筑物的高层或地下室 以及用水设备的下层或隔壁 f 应检查机房场地是否避免设在强电场 强磁场 强震 动源 强噪声源 重度环境污染 易发生火灾 水灾 易遭受雷击的地区 g 如果机房和办公场地的显示器 打印机等设备有敏感 或密级信息输出 应检查设备摆放位置是否为不易被无 关人员看到的隐蔽位置 访谈 检查 物理安全负责人 机房维护人员 机房 办公场 地 机房场地设 计 验收文档 a 如果7 1 1 1 4 a 中机房 场地的选址符合不在建筑物的高 层或地下室 以及用水设备的下 层或隔壁 不在强电场 强磁场 强震动源 强噪声源 重度环 境污染 易发生火灾 水灾 易 遭受雷击的地区等要求 则该项 为肯定 b 如果7 1 1 1 4 g 中 如 果 条件不成立 则该项为不适 用 b 机房场地应避免设在建筑物的高层或 地下室 以及用水设备的下层或隔壁 c 机房场地应当避开强电场 强磁场 强 震动源 强噪声源 重度环境污染 易发 生火灾 水灾 易遭受雷击的地区 7 1 1 2 物理访问 控制 G3 a 机房出入口应安排专人值守 控制 鉴 别和记录进入的人员 a 应访谈物理安全负责人 了解具有哪些控制机房进出 的能力 b 应访谈物理安全负责人 如果业务或安全管理需要 是否对机房进行了划分区域管理 是否对各个区域都有 专门的管理要求 c 应访谈机房值守人员 询问是否认真执行有关机房出 入的管理制度 是否对进入机房的人员记录在案 d 应检查机房安全管理制度 查看是否有关于机房出入 方面的规定 e 应检查机房出入口是否有专人值守 是否有值守记录 以及进出机房的人员登记记录 检查机房是否存在电 子门禁系统控制之外的出入口 f 应检查机房是否有进入机房的人员身份鉴别措施 如 戴有可见的身份辨识标识 g 应检查是否有来访人员进入机房的审批记录 h 应检查机房区域划分是否合理 是否在机房重要区域 前设置交付或安装等过渡区域 是否对不同区域设置不 同机房或者同一机房的不同区域之间设置有效的物理隔 离装置 如隔墙等 i 应检查机房或重要区域配置的电子门禁系统是否有验 收文档或产品安全资质 j 应检查电子门禁系统是否正常工作 不考虑断电后的 工作情况 查看电子门禁系统运行 维护记录 查看 监控进入机房的电子门禁系统记录 是否能够鉴别和记 录进入的人员身份 访谈 检查 物理安全负责人 机房值守人员 机房设施 电 子门禁系统 机房安全管理制 度 值守记录 进入机房的登记 记录 来访人员 进入机房的审批 记录 电子门禁 系统记录 a 如果有机房出入的管理制度 指定了专人在机房出入口值守 对进入的人员登记在案并进行 身份鉴别 对来访人员须经批准 限制和监控其活动范围 机房 或重要区域配置了电子门禁系统 则7 1 1 2 4 a 为肯定 b 如果7 1 1 2 4 b 认为没 有必要对机房进行划分区域管理 如果安全管理需要 计算机设 备宜采用分区布置 如可分为主 机区 存贮器区 数据输入区 数据输出区 通信区和监控调度 区等 则测评实施h 不适用 c 如果有机房出入的管理制度 指定了专人在机房出入口值守 对进入的人员登记在案并进行 身份鉴别 对来访人员须经批准 限制和监控其活动范围 电子 门禁系统管理 则7 1 1 2 4 d 为肯定 b 需进入机房的来访人员应经过申请和审 批流程 并限制和监控其活动范围 c 应对机房划分区域进行管理 区域和区 域之间设置物理隔离装置 在重要区域前 设置交付或安装等过渡区域 第2页共2页 d 重要区域应配置电子门禁系统 控制 鉴别和记录进入的人员 7 1 1 3 防盗窃和 防破坏 G3 a 应将主要设备放置在机房内 a 应访谈物理安全负责人 采取了哪些防止设备 介质 等丢失的保护措施 b 应访谈机房维护人员 询问主要设备放置位置是否做 到安全可控 设备或主要部件是否进行了固定和标记 通 信线缆是否铺设在隐蔽处 是否设置了冗余或并行的通 信线路 是否对机房安装的防盗报警系统和监控报警系 统进行定期维护检查 c 应访谈资产管理员 在介质管理中 是否进行了分类 标识 是否存放在介质库或档案室中 询问对设备或存 储介质携带出工作环境是否规定了审批程序 内容加密 专人检查等安全保护的措施 d 应检查主要设备是否放置在机房内或其它不易被盗窃 和破坏的可控范围内 检查主要设备或设备的主要部件 的固定情况 是否不易被移动或被搬走 是否设置明显 的无法除去的标记 e 应检查通信线缆铺设是否在隐蔽处 如铺设在地下或 管道中等 f 应检查介质的管理情况 查看介质是否有正确的分类 标识 是否存放在介质库或档案室中 并且进行分类存 放 满足磁介质 纸介质等的存放要求 红外报警等 措施 g 应检查机房防盗报警设施是否正常运行 并查看运行 和报警记录 应检查机房的摄像 传感等监控报警系统 是否正常运行 并查看运行记录 监控记录和报警记录 h 应检查有关设备或存储介质携带出工作环境的审批记 录 以及专人对内容加密进行检查的记录 i 应检查是否有设备管理制度文档 通信线路布线文档 介质管理制度文档 介质清单和使用记录 机房防盗 报警设施的安全资质材料 安装测试 验收报告 查看文 档中的条文是否与设备放置位置 设备或主要部件保护 通信线缆铺设等实际情况一致 j 应检查是否设置光 电技术监控报警系统 如红外等 满足其一即可 a 如果有设备管理制度 主要 设备放置位置做到安全可控 设 备或主要部件进行了固定和标记 通信线缆铺设在隐蔽处 介质 分类标识并存储在介质库或档案 室 机房安装了防止进入盗窃和 破坏的利用光 电等技术设置的 机房防盗报警系统 设备或存储 介质携带出工作环境的审批程序 内容加密 专人检查等措施 机房设置了摄像 传感等监控报 警系统 则7 1 1 3 4 a 为肯 定 b 应将设备或主要部件进行固定 并设 置明显的不易除去的标记 c 应将通信线缆铺设在隐蔽处 可铺设 在地下或管道中 d 应对介质分类标识 存储在介质库或 档案室中 e 设备或存储介质携带出工作环境时 应受到监控和内容加密 f 应利用光 电等技术设置机房防盗报 警系统 g 应对机房设置监控报警系统 7 1 1 4 防雷击 G3 a 机房建筑应设置避雷装置 a 应访谈物理安全负责人 询问为防止雷击事件导致重 要设备被破坏采取了哪些防护措施 机房建筑是否设置 了避雷装置 是否通过验收或国家有关部门的技术检测 b 应访谈机房维护人员 询问机房建筑避雷装置是否有 人定期进行检查和维护 询问机房计算机系统接地 交 流工作接地 安全保护接地 是否符合GB50174 93 电子计算机机房设计规范 的要求 c 应检查机房是否有建筑防雷设计 验收文档 机房接 地设计 验收文档 查看是否有地线连接要求的描述 与 实际情况是否一致 是否在电源和信号线增加有资质的 避雷装置 以避免感应雷击 d 应检查机房是否在电源和信号线增加有资质的避雷装 置 以避免感应雷击 询问机房计算机系统接地是否设置 了专用地线 访谈 检查 物理安全负责人 机房维护人员 机房设施 建 筑防雷设计 验 收文档 a 如果计算机机房防雷符合GB 50057 1994 建筑物防雷设计 规范 GB157 建筑防雷设计 规范 要求 而且如果是在雷 电频繁区域 装设浪涌电压吸收 装置等 则7 1 1 4 4 a 为肯 定 b 如果地线的引线和大楼的钢 筋网及各种金属管道绝缘 交流 工作接地的接地电阻不大于4 安全保护地的接地电阻不大于 4 防雷保护地 处在有防雷 设施的建筑群中可不设此地 的 接地电阻不大于10 的要求 则7 1 1 4 4 b 为肯定 b 应设置防雷保安器 防止感应雷 7 1 技术 要求 7 1 1 物理 安全 7 1 1 2 物理访问 控制 G3 a 应访谈物理安全负责人 了解具有哪些控制机房进出 的能力 b 应访谈物理安全负责人 如果业务或安全管理需要 是否对机房进行了划分区域管理 是否对各个区域都有 专门的管理要求 c 应访谈机房值守人员 询问是否认真执行有关机房出 入的管理制度 是否对进入机房的人员记录在案 d 应检查机房安全管理制度 查看是否有关于机房出入 方面的规定 e 应检查机房出入口是否有专人值守 是否有值守记录 以及进出机房的人员登记记录 检查机房是否存在电 子门禁系统控制之外的出入口 f 应检查机房是否有进入机房的人员身份鉴别措施 如 戴有可见的身份辨识标识 g 应检查是否有来访人员进入机房的审批记录 h 应检查机房区域划分是否合理 是否在机房重要区域 前设置交付或安装等过渡区域 是否对不同区域设置不 同机房或者同一机房的不同区域之间设置有效的物理隔 离装置 如隔墙等 i 应检查机房或重要区域配置的电子门禁系统是否有验 收文档或产品安全资质 j 应检查电子门禁系统是否正常工作 不考虑断电后的 工作情况 查看电子门禁系统运行 维护记录 查看 监控进入机房的电子门禁系统记录 是否能够鉴别和记 录进入的人员身份 访谈 检查 物理安全负责人 机房值守人员 机房设施 电 子门禁系统 机房安全管理制 度 值守记录 进入机房的登记 记录 来访人员 进入机房的审批 记录 电子门禁 系统记录 a 如果有机房出入的管理制度 指定了专人在机房出入口值守 对进入的人员登记在案并进行 身份鉴别 对来访人员须经批准 限制和监控其活动范围 机房 或重要区域配置了电子门禁系统 则7 1 1 2 4 a 为肯定 b 如果7 1 1 2 4 b 认为没 有必要对机房进行划分区域管理 如果安全管理需要 计算机设 备宜采用分区布置 如可分为主 机区 存贮器区 数据输入区 数据输出区 通信区和监控调度 区等 则测评实施h 不适用 c 如果有机房出入的管理制度 指定了专人在机房出入口值守 对进入的人员登记在案并进行 身份鉴别 对来访人员须经批准 限制和监控其活动范围 电子 门禁系统管理 则7 1 1 2 4 d 为肯定 第3页共3页 c 机房应设置交流电源地线 7 1 1 5 防火 G3 a 机房应设置火灾自动消防系统 能够 自动检测火情 自动报警 并自动灭火 a 应访谈物理安全负责人 询问机房是否设置了灭火设 备 是否设置了自动检测火情 自动报警 自动灭火的 自动消防系统 是否有专人负责维护该系统的运行 是 否制订了有关机房消防的管理制度和消防预案 是否进 行了消防培训 b 应访谈机房值守人员 询问对机房出现的消防安全隐 患是否能够及时报告并得到排除 是否参加过机房灭火 设备的使用培训 是否能够正确使用灭火设备和自动消 防系统 喷水不适用于机房 c 应检查机房是否设置了自动检测火情 如使用温感 烟感探测器 自动报警 自动灭火的自动消防系统 摆放位置是否合理 有效期是否合格 应检查自动消防 系统是否正常工作 查看运行记录 报警记录 定期检 查和维修记录 d 应检查是否有机房消防方面的管理制度文档 检查是 否有机房防火设计 验收文档 检查是否有机房自动消防 系统的设计 验收文档 文档是否与现有消防配置状况一 致 检查是否有机房及相关房间的建筑材料 区域隔离 防火措施的验收文档或消防检查验收文档 e 应检查机房是否采取区域隔离防火措施 将重要设备 与其他设备隔离开 访谈 检查 物理安全负责人 机房值守人员 机房设施 机 房安全管理制度 机房防火设计 验收文档 自 动消防系统设计 验收文档 b 机房及相关的工作房间和辅助房应采 用具有耐火等级的建筑材料 c 机房应采取区域隔离防火措施 将重 要设备与其他设备隔离开 7 1 1 6 防水和防 潮 G3 a 水管安装 不得穿过机房屋顶和活动 地板下 a 应访谈物理安全负责人 询问机房建设是否有防水防 潮措施 如果机房内有上下水管安装 是否避免穿过屋 顶和活动地板下 穿过墙壁和楼板的水管是否采取了的 保护措施 如设置套管 在湿度较高地区或季节是否有 人负责机房防水防潮事宜 配备除湿装置 b 应访谈机房维护人员 询问机房是否出现过漏水和返 潮事件 如果机房内有上下水管安装 是否经常检查是 否有漏水情况 如果出现机房水蒸气结露和地下积水的 转移与渗透现象是否采取防范措施 c 应检查机房是否有建筑防水和防潮设计 验收文档 是否与机房防水防潮的实际情况一致 d 如果有管道穿过主机房墙壁和楼板处 应检查是否有 必要的保护措施 如设置套管等 e 应检查机房是否不存在屋顶和墙壁等出现过漏水 渗 透和返潮现象 机房及其环境是否不存在明显的漏水和 返潮的威胁 如果出现漏水 渗透和返潮现象是否能够 及时修复解决 f 如果在湿度较高地区或季节 应检查机房是否有湿度 记录 是否有除湿装置并能够正常运行 是否有防止出 现机房地下积水的转移与渗透的措施 是否有防水防潮 处理记录和除湿装置运行记录 与机房湿度记录情况是 否一致 访谈 检查 物理安全负责人 机房维护人员 机房设施 建 筑防水和防潮设 计 验收文档 机房湿度记录 除湿装置运行记 录 a 如果7 1 1 6 4 d f 中 如果 条件不成立 则该项 为不适用 b 应采取措施防止雨水通过机房窗户 屋顶和墙壁渗透 c 应采取措施防止机房内水蒸气结露和 地下积水的转移与渗透 7 1 技术 要求 7 1 1 物理 安全 7 1 1 4 防雷击 G3 a 应访谈物理安全负责人 询问为防止雷击事件导致重 要设备被破坏采取了哪些防护措施 机房建筑是否设置 了避雷装置 是否通过验收或国家有关部门的技术检测 b 应访谈机房维护人员 询问机房建筑避雷装置是否有 人定期进行检查和维护 询问机房计算机系统接地 交 流工作接地 安全保护接地 是否符合GB50174 93 电子计算机机房设计规范 的要求 c 应检查机房是否有建筑防雷设计 验收文档 机房接 地设计 验收文档 查看是否有地线连接要求的描述 与 实际情况是否一致 是否在电源和信号线增加有资质的 避雷装置 以避免感应雷击 d 应检查机房是否在电源和信号线增加有资质的避雷装 置 以避免感应雷击 询问机房计算机系统接地是否设置 了专用地线 访谈 检查 物理安全负责人 机房维护人员 机房设施 建 筑防雷设计 验 收文档 a 如果计算机机房防雷符合GB 50057 1994 建筑物防雷设计 规范 GB157 建筑防雷设计 规范 要求 而且如果是在雷 电频繁区域 装设浪涌电压吸收 装置等 则7 1 1 4 4 a 为肯 定 b 如果地线的引线和大楼的钢 筋网及各种金属管道绝缘 交流 工作接地的接地电阻不大于4 安全保护地的接地电阻不大于 4 防雷保护地 处在有防雷 设施的建筑群中可不设此地 的 接地电阻不大于10 的要求 则7 1 1 4 4 b 为肯定 第4页共4页 d 应安装对水敏感的检测仪表或元件 对机房进行防水检测和报警 7 1 1 7 防静电 G3 a 主要设备应采用必要的接地防静电措 施 a 应访谈物理安全负责人 询问机房是否采用必要的接 地等防静电措施 是否有控制机房湿度的措施 在静电 较强地区的机房是否采取了有效的防静电措施 b 应访谈机房维护人员 询问是否经常检查机房湿度 并控制在GB2887中的规定的范围内 询问机房是否存在 静电问题或因静电引起的故障事件 如果存在静电时是 否及时采取消除静电的措施 c 应检查机房是否有防静电设计 验收文档 查看其描 述内容与实际情况是否一致 d 应检查机房是否有安全接地 查看机房的相对湿度的 记录是否符合GB2887中的规定 查看机房是否不存在明 显的静电现象 e 如果在静电较强的地区 应检查机房是否了采用了如 防静电地板 防静电工作台 以及静电消除剂和静电消 除器等措施 访谈 检查 物理安全负责人 机房维护人员 机房设施 防 静电设计 验收 文档 湿度记录 a 7 1 1 7 4 e 中有效的防 静电措施 可以包括如防静电地 板 防静电工作台 或静电消除 剂和静电消除器等措施的部分或 全部 则该项为肯定 b 如果7 1 1 7 4 e 中 如 果 条件不成立 则该项为不适 用 b 机房应采用防静电地板 7 1 1 8 温湿度控 制 G3 机房应设置温 湿度自动调节设施 使机 房温 湿度的变化在设备运行所允许的范 围之内 a 应访谈物理安全负责人 询问机房是否配备了恒温恒 湿系统 保证温湿度能够满足计算机设备运行的要求 是否在机房管理制度中规定了温湿度控制的要求 是否 有人负责此项工作 b 应访谈机房维护人员 询问是否定期检查和维护机房 的温湿度自动调节设施 询问是否出现过温湿度影响系 统运行的事件 c 应检查机房是否有温湿度控制设计 验收文档 是否 能够满足系统运行需要 是否与当前实际情况相符合 d 应检查恒温恒湿系统是否能够正常运行 查看是否有 温湿度记录 运行记录和维护记录 查看机房温 湿度 是否满足GB 2887 89 计算站场地技术条件 的要求 访谈 检查 物理安全负责人 机房维护人员 机房设施 温 湿度控制设计 验收文档 温湿 度记录 运行记 录和维护记录 7 1 1 9 电力供应 A3 a 应在机房供电线路上配置稳压器和过 电压防护设备 a 应访谈物理安全负责人 询问计算机系统供电线路是 否与其他供电分开 询问计算机系统供电线路上是否设 置了稳压器和过电压防护设备 是否设置了短期备用电 源设备 如UPS 供电时间是否满足系统最低电力供应 需求 是否安装了冗余或并行的电力电缆线路 如双路 供电方式 是否建立备用供电系统 如备用发电机 b 应访谈机房维护人员 询问是对在计算机系统供电线 路上的稳压器 过电压防护设备 短期备用电源设备等 进行定期检查和维护 是否能够控制电源稳压范围满足 计算机系统运行正常 c 应访谈机房维护人员 询问冗余或并行的电力电缆线 路 如双路供电方式 在双路供电切换时是否能够对计 算机系统正常供电 是否定期检查备用供电系统 如备 用发电机 是否能够在规定时间内正常启动和正常供 电 d 应检查机房是否有电力供应安全设计 验收文档 查 看文档中是否标明单独为计算机系统供电 配备稳压器 过电压防护设备 备用电源设备以及冗余或并行的电 力电缆线路等要求 查看与机房电力供应实际情况是否 一致 e 应检查计算机供电线路 查看计算机系统供电是否与 其他供电分开 f 应检查机房 查看计算机系统供电线路上的稳压器 过电压防护设备和短期备用电源设备是否正常运行 查 看供电电压是否正常 g 应检查是否有稳压器 过电压防护设备以及短期备用 电源设备等电源设备的检查和维护记录 以及冗余或并 行的电力电缆线路切换记录 备用供电系统运行记录 以及上述计算机系统供电的运行记录 是否能够符合系 统正常运行的要求 h 应测试安装的冗余或并行的电力电缆线路 如双路供 电方式 是否能够进行双路供电切换 i 应测试备用供电系统 如备用发电机 是否能够在规 定时间内正常启动和正常供电 访谈 检查 测 试 物理安全负责人 机房维护人员 机房设施 电 力供应安全设计 验收文档 检 查和维护记录 7 1 技术 要求 7 1 1 物理 安全 7 1 1 6 防水和防 潮 G3 a 应访谈物理安全负责人 询问机房建设是否有防水防 潮措施 如果机房内有上下水管安装 是否避免穿过屋 顶和活动地板下 穿过墙壁和楼板的水管是否采取了的 保护措施 如设置套管 在湿度较高地区或季节是否有 人负责机房防水防潮事宜 配备除湿装置 b 应访谈机房维护人员 询问机房是否出现过漏水和返 潮事件 如果机房内有上下水管安装 是否经常检查是 否有漏水情况 如果出现机房水蒸气结露和地下积水的 转移与渗透现象是否采取防范措施 c 应检查机房是否有建筑防水和防潮设计 验收文档 是否与机房防水防潮的实际情况一致 d 如果有管道穿过主机房墙壁和楼板处 应检查是否有 必要的保护措施 如设置套管等 e 应检查机房是否不存在屋顶和墙壁等出现过漏水 渗 透和返潮现象 机房及其环境是否不存在明显的漏水和 返潮的威胁 如果出现漏水 渗透和返潮现象是否能够 及时修复解决 f 如果在湿度较高地区或季节 应检查机房是否有湿度 记录 是否有除湿装置并能够正常运行 是否有防止出 现机房地下积水的转移与渗透的措施 是否有防水防潮 处理记录和除湿装置运行记录 与机房湿度记录情况是 否一致 访谈 检查 物理安全负责人 机房维护人员 机房设施 建 筑防水和防潮设 计 验收文档 机房湿度记录 除湿装置运行记 录 a 如果7 1 1 6 4 d f 中 如果 条件不成立 则该项 为不适用 第5页共5页 b 应提供短期的备用电力供应 至少满 足主要设备在断电情况下的正常运行要求 c 应设置冗余或并行的电力电缆线路为 计算机系统供电 d 应建立备用供电系统 7 1 1 10 电磁防护 S3 a 应采用接地方式防止外界电磁干扰和 设备寄生耦合干扰 a 应访谈物理安全负责人 询问是否有防止外界电磁干 扰和设备寄生耦合干扰的措施 包括设备外壳有良好的 接地 电源线和通信线缆隔离等 是否对处理秘密级 信息的设备采取了防止电磁泄露的措施 b 应访谈机房维护人员 询问是否对设备外壳做了良好 的接地 是否做到电源线和通信线缆隔离 是否出现过 因电磁防护问题引发的故障 处理秘密级信息的设备是 否为低辐射设备 是否安装了满足BMB4 2000 电磁干 扰器技术要求和测试方法 要求的二级电磁干扰器 c 应检查机房是否有电磁防护设计 验收文档 查看其 描述内容与实际情况是否一致 d 应检查机房设备外壳是否有安全接地 e 应检查机房布线 查看是否做到电源线和通信线缆隔 离 f 应检查使用电磁干扰器的涉密设备开机 是否同时开 启电磁干扰器 访谈 检查 物理安全负责人 机房维护人员 机房设施 电 磁防护设计 验 收文档 b 电源线和通信线缆应隔离铺设 避免 互相干扰 c 应对关键设备和磁介质实施电磁屏蔽 7 1 2 网络 安全 7 1 2 1 结构安全 G3 a 应保证主要网络设备的业务处理能力 具备冗余空间 满足业务高峰期需要 a 可访谈网络管理员 询问信息系统中的边界和主要网 络设备的性能以及目前业务高峰流量情况 b 可访谈网络管理员 询问网段划分情况以及划分的原 则 询问重要的网段有哪些 对重要网段的保护措施有 哪些 c 可访谈网络管理员 询问网络的带宽情况 询问网络 中带宽控制情况以及带宽分配的原则 d 可访谈网络管理员 询问网络设备上的路由控制策略 措施有哪些 这些策略设计的目的是什么 e 应检查网络拓扑图 查看其与当前运行情况是否一致 f 应检查网络设计 验收文档 查看是否有边界和主要 网络设备能满足基本业务需求 网络接入及核心网络的 带宽能满足业务高峰期的需要 是否不存在带宽瓶颈等 方面的设计或描述 g 应检查网络设计 验收文档 查看是否有根据各部门 的工作职能 重要性和所涉及信息的重要程度等因素 划分不同的子网或网段 并按照方便管理和控制的原则 为各子网和网段分配地址段的设计或描述 h 应检查边界和主要网络设备 查看是否配置路由控制 策略 如使用静态路由等 建立安全的访问路径 i 应检查边界和主要网络设备 查看重要网段是否采取 了网络地址与数据链路地址绑定的措施 如对重要服务 器采用IP地址和MAC地址绑定措施 j 应检查边界和主要网络设备 查看是否有对带宽进行 控制的策略 如路由 交换设备上的QOS策略配置情况 专用的带宽管理设备的配置策略等 这些策略能否保 证在网络发生拥堵的时候优先保护重要业务 如重要业 务的主机的优先级要高于非重要业务的主机 k 应测试网络拓扑结构 可通过网络拓扑结构自动发现 绘制工具 验证实际的网络拓扑结构和网络拓扑结构 图是否一致 l 应测试业务终端与业务服务器之间的访问路径 可通 过使用路由跟踪工具 如tracert等工具 验证业务 终端与业务服务器之间的访问路径是否安全 如访问路 径是否固定等 m 应测试重要网段 验证其采取的网络地址与数据链路 地址绑定措施是否有效 如试图使用非绑定地址 查看 是否能正常访问等 n 应测试网络带宽分配策略 可通过使用带宽测试工具 测试网络带宽分配是否有效 访谈 检查 测 试 网络管理员 边 界和主要网络设 备 网络拓扑图 网络设计 验 收文档 咨询服务 了解关键网络设备 如路由器 交换机 防火墙 UTM等 的处理能力 同时了 解业务高峰期的带宽占用 两者 对比来确定本项是否满足 如果 不满足 给出解决建议 7 1 技术 要求 7 1 1 物理 安全 7 1 1 9 电力供应 A3 a 应访谈物理安全负责人 询问计算机系统供电线路是 否与其他供电分开 询问计算机系统供电线路上是否设 置了稳压器和过电压防护设备 是否设置了短期备用电 源设备 如UPS 供电时间是否满足系统最低电力供应 需求 是否安装了冗余或并行的电力电缆线路 如双路 供电方式 是否建立备用供电系统 如备用发电机 b 应访谈机房维护人员 询问是对在计算机系统供电线 路上的稳压器 过电压防护设备 短期备用电源设备等 进行定期检查和维护 是否能够控制电源稳压范围满足 计算机系统运行正常 c 应访谈机房维护人员 询问冗余或并行的电力电缆线 路 如双路供电方式 在双路供电切换时是否能够对计 算机系统正常供电 是否定期检查备用供电系统 如备 用发电机 是否能够在规定时间内正常启动和正常供 电 d 应检查机房是否有电力供应安全设计 验收文档 查 看文档中是否标明单独为计算机系统供电 配备稳压器 过电压防护设备 备用电源设备以及冗余或并行的电 力电缆线路等要求 查看与机房电力供应实际情况是否 一致 e 应检查计算机供电线路 查看计算机系统供电是否与 其他供电分开 f 应检查机房 查看计算机系统供电线路上的稳压器 过电压防护设备和短期备用电源设备是否正常运行 查 看供电电压是否正常 g 应检查是否有稳压器 过电压防护设备以及短期备用 电源设备等电源设备的检查和维护记录 以及冗余或并 行的电力电缆线路切换记录 备用供电系统运行记录 以及上述计算机系统供电的运行记录 是否能够符合系 统正常运行的要求 h 应测试安装的冗余或并行的电力电缆线路 如双路供 电方式 是否能够进行双路供电切换 i 应测试备用供电系统 如备用发电机 是否能够在规 定时间内正常启动和正常供电 访谈 检查 测 试 物理安全负责人 机房维护人员 机房设施 电 力供应安全设计 验收文档 检 查和维护记录 第6页共6页 b 应保证网络各个部分的带宽满足业务 高峰期需要 咨询服务 在关键设备上配置带 宽控制策略 已满足业务高峰要 求 c 应在业务终端与业务服务器之间进行 路由控制建立安全的访问路径 咨询服务 在边界设备上配置路 由策略 保障业务终端和业务服 务器之间的访问路径安全 d 应绘制与当前运行情况相符的网络拓 扑结构图 咨询服务 协助绘制正确的网络 拓扑结构图 e 应根据各部门的工作职能 重要性和 所涉及信息的重要程度等因素 划分不同 的子网或网段 并按照方便管理和控制的 原则为各子网 网段分配地址段 咨询服务 进行安全域划分 并 对网段 IP进行统一合理规划 f 应避免将重要网段部署在网络边界处 且直接连接外部信息系统 重要网段与其 他网段之间采取可靠的技术隔离手段 部署UTM FW 隔离机 g 应按照对业务服务的重要次序来指定 带宽分配优先级别 保证在网络发生拥堵 的时候优先保护重要主机 部署并配置交换机 UTM FW 流 控产品 负载均衡产品 终端安 全管理 7 1 2 2 访问控制 G3 a 应在网络边界部署访问控制设备 启 用访问控制功能 a 可访谈安全员 询问采取的网络访问控制措施有哪些 询问访问控制策略的设计原则是什么 询问访问控制 策略是否做过调整 以及调整后和调整前的情况如何 b 应检查边界网络设备 查看其是否根据会话状态信息 如包括数据包的源地址 目的地址 源端口号 目的 端口号 协议 出入的接口 会话序列号 发出信息的 主机名等信息 并应支持地址通配符的使用 对数据流 进行控制 c 应检查边界网络设备 查看其是否对进出网络的信息 内容进行过滤 实现对应用层HTTP FTP TELNET SMTP POP3等协议命令级的控制 d 应检查边界网络设备 查看是否能设置会话处于非活 跃的时间或会话结束后自动终止网络连接 查看是否能 设置网络最大流量数及网络连接数 e 应检查主要网络设备 查看是否有访问控制措施 如 VLAN 访问控制列表 MAC地址绑定 控制便携式和移 动式设备接入网络 f 应测试边界网络设备 可通过试图访问未授权的资源 验证访问控制措施对未授权的访问行为的控制是否有 效 如可以使用扫描工具来探测等 g 应测试主要网络设备 可通过试图用移动设备接入网 络 验证网络设备的访问控制策略是否有效 h 应对网络访问控制措施进行渗透测试 可通过采用多 种渗透测试技术 如http隧道等 验证网络访问控制 措施是否不存在明显的弱点 访谈 检查 测 试 安全员 边界网 络设备 包括网 络安全设备 部署交换机 FW UTM等 b 应能根据会话状态信息为数据流提供 明确的允许 拒绝访问的能力 控制粒度 为端口级 部署FW UTM IPS 7 1 技术 要求 7 1 2 网络 安全 7 1 2 1 结构安全 G3 a 可访谈网络管理员 询问信息系统中的边界和主要网 络设备的性能以及目前业务高峰流量情况 b 可访谈网络管理员 询问网段划分情况以及划分的原 则 询问重要的网段有哪些 对重要网段的保护措施有 哪些 c 可访谈网络管理员 询问网络的带宽情况 询问网络 中带宽控制情况以及带宽分配的原则 d 可访谈网络管理员 询问网络设备上的路由控制策略 措施有哪些 这些策略设计的目的是什么 e 应检查网络拓扑图 查看其与当前运行情况是否一致 f 应检查网络设计 验收文档 查看是否有边界和主要 网络设备能满足基本业务需求 网络接入及核心网络的 带宽能满足业务高峰期的需要 是否不存在带宽瓶颈等 方面的设计或描述 g 应检查网络设计 验收文档 查看是否有根据各部门 的工作职能 重要性和所涉及信息的重要程度等因素 划分不同的子网或网段 并按照方便管理和控制的原则 为各子网和网段分配地址段的设计或描述 h 应检查边界和主要网络设备 查看是否配置路由控制 策略 如使用静态路由等 建立安全的访问路径 i 应检查边界和主要网络设备 查看重要网段是否采取 了网络地址与数据链路地址绑定的措施 如对重要服务 器采用IP地址和MAC地址绑定措施 j 应检查边界和主要网络设备 查看是否有对带宽进行 控制的策略 如路由 交换设备上的QOS策略配置情况 专用的带宽管理设备的配置策略等 这些策略能否保 证在网络发生拥堵的时候优先保护重要业务 如重要业 务的主机的优先级要高于非重要业务的主机 k 应测试网络拓扑结构 可通过网络拓扑结构自动发现 绘制工具 验证实际的网络拓扑结构和网络拓扑结构 图是否一致 l 应测试业务终端与业务服务器之间的访问路径 可通 过使用路由跟踪工具 如tracert等工具 验证业务 终端与业务服务器之间的访问路径是否安全 如访问路 径是否固定等 m 应测试重要网段 验证其采取的网络地址与数据链路 地址绑定措施是否有效 如试图使用非绑定地址 查看 是否能正常访问等 n 应测试网络带宽分配策略 可通过使用带宽测试工具 测试网络带宽分配是否有效 访谈 检查 测 试 网络管理员 边 界和主要网络设 备 网络拓扑图 网络设计 验 收文档 第7页共7页 c 应对进出网络的信息内容进行过滤 实现对应用层HTTP FTP TELNET SMTP POP3等协议命令级的控制 部署UTM IPS 上网行为管理 产品 网络审计 d 应在会话处于非活跃一定时间或会话 结束后终止网络连接 部署FW UTM e 应限制网络最大流量数及网络连接数 部署FW UTM f 重要网段应采取技术手段防止地址欺 骗 部署FW UTM 内网管理IP MAC 绑定功能 g 应按用户和系统之间的允许访问规则 决定允许或拒绝用户对受控系统进行资 源访问 控制粒度为单个用户 部署FW UTM 网络审计 终端 安全管理 h 应限制具有拨号访问权限的用户数量 部署FW UTM 内网管理 拨号访问控制 a 应在基于安全属性的允许远程用户对 系统访问的规则的基础上 对系统所有资 源允许或拒绝用户进行访问 控制粒度为 单个用户 b 应限制具有拨号访问权限的用户数量 c 应按用户和系统之间的允许访问规则 决定允许用户对受控系统进行资源访问 a 可访谈安全员 询问是否允许拨号访问网络 询问对 拨号访问控制的策略是什么 采取什么技术手段实现拨 号访问控制 如使用防火墙还是使用路由器实现 采 取的拨号访问用户的权限分配原则是什么 询问对保护 访问的认证方式有哪些 b 应检查边界网络设备 如路由器 防火墙 认证网关 查看是否正确的配置了拨号访问控制列表 对系统 资源实现允许或拒绝访问 控制粒度是否为单个用户 查看其能否限制拨号访问权限的用户数量 c 应测试边界网络设备 可通过试图非授权的访问 验 证拨号访问措施能否有效对系统资源实现允许或拒绝用 户访问的控制 d 应测试边界网络设备 可使用测试拨号连接数工具 验证其限制具有拨号访问权限的用户数量的功能是否有 效 访谈 检查 测 试 安全员 边界网 络设备 包括网 络安全设备 违规外联控制系统 7 1 技术 要求 7 1 2 网络 安全 7 1 2 2 访问控制 G3 a 可访谈安全员 询问采取的网络访问控制措施有哪些 询问访问控制策略的设计原则是什么 询问访问控制 策略是否做过调整 以及调整后和调整前的情况如何 b 应检查边界网络设备 查看其是否根据会话状态信息 如包括数据包的源地址 目的地址 源端口号 目的 端口号 协议 出入的接口 会话序列号 发出信息的 主机名等信息 并应支持地址通配符的使用 对数据流 进行控制 c 应检查边界网络设备 查看其是否对进出网络的信息 内容进行过滤 实现对应用层HTTP FTP TELNET SMTP POP3等协议命令级的控制 d 应检查边界网络设备 查看是否能设置会话处于非活 跃的时间或会话结束后自动终止网络连接 查看是否能 设置网络最大流量数及网络连接数 e 应检查主要网络设备 查看是否有访问控制措施 如 VLAN 访问控制列表 MAC地址绑定 控制便携式和移 动式设备接入网络 f 应测试边界网络设备 可通过试图访问未授权的资源 验证访问控制措施对未授权的访问行为的控制是否有 效 如可以使用扫描工具来探测等 g 应测试主要网络设备 可通过试图用移动设备接入网 络 验证网络设备的访问控制策略是否有效 h 应对网络访问控制措施进行渗透测试 可通过采用多 种渗透测试技术 如http隧道等 验证网络访问控制 措施是否不存在明显的弱点 访谈 检查 测 试 安全员 边界网 络设备 包括网 络安全设备 第8页共8页 7 1 2 3 安全审计 G3 a 应对网络系统中的网络设备运行状况 网络流量 用户行为等进行日志记录 a 可访谈审计员 询问网络系统中的边界和关键网络 设备是否设置安全审计 包括哪些项 询问审计记录的 主要内容有哪些 对审计记录的处理方式有哪些 b 应检查边界和主要网络设备 查看审计记录是否包 含网络系统中的网络设备运行状况 网络流量 用户行 为等 c 应检查边界和主要网络设备 查看事件审计记录是 否包括 事件的日期和时间 用户 事件类型 事件成 功情况 及其他与审计相关的信息 d 应检查边界和主要网络设备 查看是否可以对特定 事件 按照指定方式进行实时报警 如声音 EMAIL 短 信等 e 应检查边界和主要网络设备 查看是否为授权用户 浏览和分析审计数据提供专门的审计工具 如对审计记 录进行分类 排序 查询 统计 分析和组合查询等 并能根据需要生成审计报表 f 应测试边界和主要网络设备 可通过以某个用户试 图产生一些重要的安全相关事件 如鉴别失败等 验 证安全审计的覆盖情况和记录情况与要求是否一致 g 应测试边界和主要网络设备 可通过以某个系统用 户试图删除 修改或覆盖审计记录 验证安全审计的保 护情况与要求是否一致 访谈 检查 测 试 审计员 边界和 主要网络设备 部署网管系统 网络审计 流量 分析系统 安全管理平台 b 审计记录应包括 事件的日期和时间 用户 事件类型 事件是否成功及其他 与审计相关的信息 部署网络审计 c 应能够根据记录数据进行分析 并生 成审计报表 部署网络审计 d 应对审计记录进行保护 避免受到未 预期的删除 修改或覆盖等 部署网络审计 7 1 2 4 边界完整 性检查 S3 a 应能够对非授权设备私自联到内部网 络的行为进行检查 准确定出位置 并对 其进行有效阻断 a 可访谈安全员 询问是否有对内部用户未通过准许 私自联到外部网络的行为 对非授权设备私自联到网络 的行为进行监控的措施 具体采取什么措施 询问网络 内 非法外联 的情况 b 应检查边界完整性检查设备运行日志 查看运行是 否正常 查看是否持续对网络进行监控 c 应检查边界完整性检查设备 查看是否设置了同时 对非法联接到内网和非法联接到外网的行为进行监控 查看是否对发现的非法联接行为进行有效的阻断 d 应测试边界完整性检查设备 测试是否能有效的发 现 非法外联 的行为 如产生非法外联的动作 查看 边界完整性检查设备是否能够发现该行为 e 应测试边界完整性检查设备 测试是否确定出 非 法外联 设备的位置 并对其进行有效阻断 如产生非 法外联的动作 查看边界完整性检查设备是否能够准确 定位并阻断 f 应测试边界完整性检查设备 测试是否能够对非授 权设备私自联到网络的行为进行检查 并准确定出位置 对其进行有效阻断 如产生非法接入的动作 查看测 试边界完整性检查设备是否能准确的发现 准确的定位 并产生阻断 访谈 检查 测 试 安全员 边界完 整性检查设备 边界完整性检查 设备运行日志 部署终端安全管理 防止非法接 入功能 同时利用UTM和天珣的 配合 b 应能够对内部网络用户私自联到外部 网络的行为进行检查 准确定出位置 并 对其进行有效阻断 部署终端安全管理 非法外联监 控 7 1 技术 要求 7 1 2 网络 安全 第9页共9页 7 1 2 5 入侵防范 G3 a 应在网络边界处监视以下攻击行为 端口扫描 强力攻击 木马后门攻击 拒 绝服务攻击 缓冲区溢出攻击 IP碎片攻 击和网络蠕虫攻击等 a 可访谈安全员 询问网络入侵防范措施有哪些 是否 有专门的设备对网络入侵进行防范 询问网络入侵防范 规则库的升级方式 b 应检查网络入侵防范设备 查看是否能检测以下攻击 行为 端口扫描 强力攻击 木马后门攻击 拒绝服务 攻击 缓冲区溢出攻击 IP碎片攻击 网络蠕虫攻击等 c 应检查网络入侵防范设备 查看入侵事件记录中是否 包括入侵的源IP 攻击的类型 攻击的目的 攻击的时 间等 d 应检查网络入侵防范设备 查看其生产厂商是否为正 规厂商 规则库是否为最新 e 应测试网络入侵防范设备 验证其监控策略是否有效 如模拟产生攻击动作 查看网络入侵防范设备的反应 f 应测试网络入侵防范设备 验证其报警策略是否有效 如模拟产生攻击动作 查看网络入侵防范设备是否能 实时报警 访谈 检查 测 试 安全员 网络入 侵防范设备 部署IDS UTM IPS Ddos产 品 b 当检测到攻击行为时 记录攻击源IP 攻击类型 攻击目的 攻击时间 在发 生严重入侵事件时应提供报警 7 1 2 6 恶意代码 防范 G3 a 应在网络边界处对恶意代码进行检测 和清除 a 可访谈安全员 询问系统中的网络防恶意代码防范措 施是什么 询问恶意代码库的更新策略 询问防恶意代 码产品的有哪些主要功能 询问系统是否发生过针对恶 意代码入侵的安全事件 b 应检查设计 验收文档 查看其是否有在网络边界及 核心业务网段处有对恶意代码采取相关措施 如是否有 防病毒网关 防恶意代码产品是否有实时更新的功能 的描述 c 应检查恶意代码产品运行日志 查看是否持续运行 d 应检查在网络边界及核心业务网段处是否有相应的防 恶意代码的措施 e 应检查防恶意代码产品 查看是否为正规厂商生产 运行是否正常 恶意代码库是否为最新版本 f 应检查防恶意代码产品的配置策略 查看是否支持恶 意代码防范的统一管理 如查看是否为分布式部署 集 中管理等 访谈 检查 安全员 防恶意 代码产品 设计 验收文档 恶 意代码产品运行 日志 部署IDS UTM IPS 网络防病 毒 防病毒网关等 b 应维护恶意代码库的升级和检测系统 的更新 要求厂商具备持续更新特征库的 能力 7 1 2 7 网络设备 防护 G3 a 应对登录网络设备的用户进行身份鉴 别 a 可访谈网络管理员 询问对关键网络设备的防护措施 有哪些 询问对关键网络设备的登录和验证方式做过何 种特定配置 b 应访谈网络管理员 询问网络设备的口令策略是什么 c 应检查边界和主要网络设备上的安全设置 查看其是 否有对鉴别失败采取相应的措施的设置 查看是否有限 制非法登录次数的功能 d 应检查边界和主要网络设备上的安全设置 查看是否 对边界和主要网络设备的管理员登录地址进行限制 查 看是否设置网络登录连接超时 并自动退出 查看是否 实现设备特权用户的权限分离 查看是否对网络上的对 等实体进行身份鉴别 查看是否对同一用户选择两种或 两种以上组合的鉴别技术来进行身份鉴别 如同时使用 口令和地址绑定等 e 应测试边界和主要网络设备的安全设置 验证鉴别失 败处理措施 如模拟失败登录 观察网络设备的动作等 限制非法登录次数 如模拟非法登录 观察网络设 备的动作等 对网络设备的管理员登录地址进行限制 如使用任意地址登录 观察网络设备的动作等 等功 能是否有效 f 应测试边界和主要网络设备的安全设置 验证其网络 登录连接超自动退出的设置是否有效 如长时间连接无 任何操作 观察观察网络设备的动作等 g 应对边界和主要网络设备进行渗透测试 通过使用各 种渗透测试技术 如口令猜解等 对网络设备进行渗透 测试 验证网络设备防护能力是否符合要求 访谈 检查 测 试 网络管理员 边 界和主要网络设 备 1 通过设备本身的安全配置来 实现身份鉴别 2 通过安全产品来实现身份鉴 别 如CA 动态口令卡 USB Key 指纹认证 生物认证 b 应对网络设备的管理员登录地址进行 限制 借助网络设备自身的认证功能 c 网

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论